Politique de Confidentialité

Dernière mise à jour : 11 Novembre 2025

Chez Noutala, nous prenons votre vie privée très au sérieux. Cette Politique de Confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD/GDPR) de l'Union Européenne.

1. Contrôleur des Données

Vos données personnelles sont collectées et contrôlées par Komi Thomas A., opérant en tant que Noutala (“nous”, “notre”), basé en Finlande. En tant qu'entrepreneur individuel, je suis le principal responsable de la protection de vos données (Data Controller) conformément au Règlement Général sur la Protection des Données (RGPD/GDPR).

Contact du Responsable de la Protection des Données :

  • Nom : Komi Thomas A.
  • Email : support@noutala.com
  • Localisation : Finlande

2. Données que Nous Collectons

Nous collectons uniquement les données nécessaires au fonctionnement de notre service. Les catégories de données personnelles que nous collectons incluent :

2.1. Informations de Compte

  • Email : Requis pour l'authentification et les communications
  • Nom : Optionnel, utilisé pour personnaliser votre expérience
  • Mot de passe : Haché et stocké de manière sécurisée via Supabase Auth
  • Photo de profil : Optionnelle, fournie via OAuth (Google, GitHub)
  • Métadonnées d'authentification : Date de création, dernière connexion

2.2. Données de Facturation

  • Nom de facturation : Pour les transactions Stripe
  • Adresse de facturation : Requise pour la conformité fiscale
  • Métadonnées de transaction : ID de transaction, montant, date
  • Informations bancaires : Traitées exclusivement par Stripe, jamais stockées par nous

Note importante : Nous n'avons jamais accès à vos numéros de carte de crédit complets. Toutes les données de paiement sensibles sont gérées par Stripe conformément aux normes PCI-DSS.

2.3. Votre Contenu

  • Projets : Titres, descriptions, images, liens
  • Articles de blog : Textes, images, métadonnées
  • Services : Descriptions, tarifs, conditions de livraison
  • Produits numériques : Fichiers, descriptions, prix
  • Médias : Images et fichiers uploadés (stockage Supabase)

Ces données sont stockées sur Supabase (hébergement PostgreSQL) et protégées par Row-Level Security (RLS) pour garantir qu'elles ne sont accessibles que par vous et les utilisateurs autorisés de votre tenant.

2.4. Données d'Utilisation et Techniques

  • Logs d'accès : Adresse IP, user-agent, pages visitées (via Vercel)
  • Données analytiques : Statistiques anonymisées sur l'utilisation (Vercel Analytics)
  • Cookies : Cookies de session pour l'authentification, cookies de préférence
  • Performances : Temps de chargement, métriques de disponibilité

2.5. Données de Clé IA (BYOK)

Si vous utilisez la fonctionnalité “Bring Your Own Key” (BYOK) pour les services d'IA :

  • Votre clé API OpenAI ou Google Gemini est stockée de manière chiffrée dans notre base de données
  • Elle n'est utilisée que pour exécuter vos propres requêtes d'IA
  • Nous ne partageons jamais votre clé avec des tiers
  • Le contenu généré par l'IA reste votre propriété exclusive

3. Base Légale du Traitement (RGPD)

Conformément à l'Article 6 du RGPD, nous traitons vos données personnelles sur la base des fondements juridiques suivants :

  • Exécution d'un contrat (Art. 6(1)(b)) : Pour fournir les services Noutala que vous avez souscrits
  • Consentement (Art. 6(1)(a)) : Pour les communications marketing (newsletters), que vous pouvez retirer à tout moment
  • Obligations légales (Art. 6(1)(c)) : Pour la conformité fiscale et comptable (conservation des données de facturation)
  • Intérêts légitimes (Art. 6(1)(f)) : Pour la sécurité du service, la prévention de la fraude et l'amélioration de notre plateforme

4. Comment Nous Utilisons Vos Données

Nous utilisons vos données personnelles uniquement pour les finalités suivantes :

4.1. Fourniture du Service

  • Créer et maintenir votre compte utilisateur
  • Héberger et servir votre portfolio public (via Vercel CDN)
  • Stocker et gérer votre contenu (via Supabase Storage)
  • Gérer les domaines personnalisés (via Vercel API)
  • Exécuter les requêtes IA (si BYOK activé)

4.2. Gestion des Paiements

  • Traiter vos paiements d'abonnement ou ponctuels (via Stripe)
  • Gérer votre plan (Free, Pro, Fondateur)
  • Émettre des factures et justificatifs de paiement
  • Détecter et prévenir la fraude

4.3. Communication

  • Vous envoyer des emails transactionnels importants (confirmation de compte, renouvellement d'abonnement, notifications de sécurité)
  • Répondre à vos demandes de support (via support@noutala.com)
  • Vous informer de modifications importantes de nos services ou conditions
  • Newsletters marketing (uniquement avec votre consentement explicite)

4.4. Sécurité et Amélioration

  • Protéger contre les accès non autorisés et les attaques (Google reCAPTCHA)
  • Analyser les performances et la stabilité du service
  • Améliorer l'expérience utilisateur et développer de nouvelles fonctionnalités
  • Résoudre les problèmes techniques et bugs

Nous ne vendrons jamais vos données personnelles à des tiers.

5. Partage de Données avec des Tiers

Nous partageons vos données uniquement avec les sous-traitants nécessaires au fonctionnement de Noutala, tous conformes au RGPD :

5.1. Infrastructures Essentielles

  • Vercel Inc. (États-Unis) : Hébergement, CDN, déploiement. Vercel est conforme au EU-US Data Privacy Framework.
  • Supabase Inc. (États-Unis) : Base de données PostgreSQL, authentification, stockage de fichiers. Données hébergées dans des régions UE disponibles.
  • Stripe Inc. (États-Unis) : Traitement des paiements. Stripe est certifié PCI-DSS Level 1 et conforme au RGPD.

5.2. Services Optionnels

  • OpenAI / Google (BYOK) : Uniquement si vous activez la fonction IA avec votre propre clé. Le contenu envoyé est soumis aux politiques de confidentialité de ces fournisseurs.
  • Resend : Service d'envoi d'emails transactionnels (noutala.update@gmail.com).

5.3. Obligations Légales

Nous pouvons divulguer vos données si requis par la loi, par ordonnance judiciaire, ou pour protéger nos droits légaux.

6. Vos Droits GDPR

En tant que résident de l'UE/EEE (ou utilisateur bénéficiant des protections RGPD), vous disposez des droits suivants :

6.1. Droit d'Accès (Art. 15)

Vous avez le droit d'accéder à toutes vos données personnelles. Vous pouvez les consulter directement dans votre Dashboard Noutala ou demander une copie complète à support@noutala.com.

6.2. Droit de Rectification (Art. 16)

Vous pouvez modifier vos informations de profil, votre contenu et vos paramètres directement depuis votre Dashboard. Pour des modifications complexes, contactez-nous.

6.3. Droit à l'Effacement / “Droit à l'Oubli” (Art. 17)

Vous pouvez supprimer votre compte à tout moment depuis Paramètres > Supprimer le compte. Conséquences :

  • Toutes vos données de contenu (projets, articles, services) seront supprimées sous 30 jours
  • Votre compte utilisateur sera désactivé immédiatement
  • Les données de facturation seront conservées 10 ans pour conformité légale (obligation fiscale)
  • Les sauvegardes automatiques seront purgées après 90 jours

6.4. Droit à la Portabilité (Art. 20)

Vous pouvez demander un export complet de vos données dans un format structuré (JSON) en contactant support@noutala.com. Nous fournirons le fichier sous 30 jours.

6.5. Droit d'Opposition (Art. 21)

Vous pouvez vous opposer au traitement de vos données à des fins de marketing direct (désinscription des newsletters) ou pour des raisons liées à votre situation particulière.

6.6. Droit à la Limitation du Traitement (Art. 18)

Dans certains cas, vous pouvez demander la limitation temporaire du traitement de vos données (par exemple, en cas de contestation de leur exactitude).

6.7. Droit de Déposer une Plainte

Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une plainte auprès de l'autorité de contrôle compétente :

  • Finlande : Office du Commissaire à la Protection des Données (Tietosuojavaltuutetun toimisto) - tietosuoja.fi
  • Vous pouvez également contacter l'autorité de protection des données de votre pays de résidence.

7. Conservation des Données

Nous conservons vos données personnelles uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées :

  • Données de compte actif : Tant que votre compte est actif
  • Données de compte supprimé : 30 jours (période de grâce), puis suppression définitive
  • Données de facturation : 10 ans après la dernière transaction (obligation légale fiscale en Finlande)
  • Logs techniques : 90 jours maximum (Vercel)
  • Sauvegardes automatiques : 90 jours, puis purgées

8. Sécurité des Données

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos données contre tout accès, modification, divulgation ou destruction non autorisés :

8.1. Mesures Techniques

  • Chiffrement en transit : HTTPS/TLS pour toutes les communications
  • Chiffrement au repos : Données stockées chiffrées dans Supabase
  • Authentification forte : Support OAuth2, 2FA optionnelle
  • Row-Level Security (RLS) : Isolation stricte des données multi-tenants
  • Mots de passe hachés : Algorithmes bcrypt/PBKDF2
  • Clés API chiffrées : Clés BYOK stockées avec chiffrement AES-256

8.2. Mesures Organisationnelles

  • Accès restreint aux données en production (principe du moindre privilège)
  • Surveillance continue des vulnérabilités (Dependabot, Snyk)
  • Sauvegardes automatiques quotidiennes (Supabase)
  • Plan de réponse aux incidents de sécurité
  • Audit régulier des logs d'accès

8.3. Limitation

Cependant, aucun système informatique n'est totalement sécurisé. En cas de violation de données (data breach) affectant vos données personnelles, nous vous en informerons dans les 72 heures conformément à l'Article 33 du RGPD.

9. Transferts Internationaux de Données

Nos sous-traitants principaux (Vercel, Supabase, Stripe) sont basés aux États-Unis. Ces transferts sont sécurisés par :

  • EU-US Data Privacy Framework : Vercel et Stripe sont certifiés, garantissant un niveau de protection équivalent au RGPD.
  • Clauses Contractuelles Types (CCT) : Supabase a signé les Standard Contractual Clauses approuvées par la Commission Européenne.
  • Hébergement UE : Nous privilégions les régions de données européennes (ex : eu-west-1 pour Supabase) quand disponible.

10. Cookies et Technologies de Suivi

Noutala utilise des cookies pour améliorer votre expérience :

10.1. Cookies Essentiels (Obligatoires)

  • Cookies de session : Pour maintenir votre connexion (Supabase Auth)
  • Cookies de sécurité : Pour protéger contre les attaques CSRF

10.2. Cookies Analytiques (Optionnels)

  • Vercel Analytics : Statistiques anonymisées de performance et d'utilisation

Vous pouvez configurer votre navigateur pour bloquer les cookies, mais cela peut affecter le fonctionnement de Noutala.

11. Mineurs

Noutala est destiné aux utilisateurs âgés de 16 ans et plus (âge minimum selon le RGPD). Nous ne collectons pas sciemment de données personnelles d'enfants de moins de 16 ans. Si vous pensez qu'un mineur a créé un compte, contactez-nous immédiatement à support@noutala.com pour suppression.

12. Modifications de cette Politique

Nous pouvons mettre à jour cette Politique de Confidentialité pour refléter les évolutions de nos pratiques ou de la législation. Les modifications importantes seront notifiées par email aux utilisateurs actifs au moins 30 jours avant leur entrée en vigueur.

La date de “Dernière mise à jour” en haut de ce document indique la version actuelle. Nous vous encourageons à consulter régulièrement cette page.

13. Contact et Exercice de vos Droits

Pour toute question relative à cette Politique de Confidentialité, pour exercer vos droits GDPR, ou pour signaler un problème de confidentialité, veuillez contacter :

  • Email : support@noutala.com
  • Responsable de la Protection des Données : Komi Thomas A.
  • Localisation : Finlande

Nous nous engageons à répondre à toute demande dans un délai de 30 jours maximum, conformément aux exigences du RGPD. Les demandes urgentes (notamment les violations de sécurité) seront traitées sous 72 heures.

14. Base Juridique Complète

Cette Politique de Confidentialité est établie conformément aux articles suivants du RGPD (UE) 2016/679 :

  • Article 6 : Licéité du traitement
  • Article 13-14 : Informations à fournir
  • Articles 15-22 : Droits des personnes concernées
  • Article 25 : Protection des données dès la conception
  • Article 32 : Sécurité du traitement
  • Article 33-34 : Notification des violations

Résumé pour Utilisateurs : Nous collectons uniquement les données nécessaires, nous les protégeons avec les meilleures pratiques de sécurité, nous ne les vendons jamais, et vous avez un contrôle total sur vos données (accès, modification, suppression). Cette politique est conforme au RGPD et aux lois finlandaises sur la protection des données.